Todos los Sistemas de Gestión que se quieren certificar bajo un estándar ISO, deben cumplir una serie de requerimientos, muchos de ellos enfocados a la documentación del Sistema. En el ámbito documental, y focalizándonos en la ISO 22301 para la definición de un
Sistema de Gestión de la Continuidad de Negocio (SGCN), la Organización Internacional de Normalización, no impone límites en la cantidad de documentos que una Organización que se quiera certificar presente ante el auditor, aunque
sí exige una documentación mínima que debe ser contemplada. Esta documentación mínima es la siguiente:
- Contexto de la Organización (Cláusula 4.1): Definir de forma correcta el contexto de la Organización es crítico para cualquier Sistema de Gestión, identificando los principales actores internos y externos que afectarán al Sistema. Concretamente, para establecer el contexto del SGCN, la cláusula 4.1 indica qué se debe:
- Definir el propósito del SGCN.
- Identificar los objetivos de la Organización en materia de la continuidad de negocio.
- Definir los factores de riesgo, internos y externos.
- Establecer criterios para el riesgo y definir el “apetito por el riesgo” de la Organización.
- Procedimiento para la identificación de requisitos legales regulatorios (Cláusula 4.2.2): Se debe establecer, implementar y mantener actualizado un procedimiento que permita identificar las regulaciones aplicables a la Organización, así como identificar los cambios que se produzcan; debe contemplar también la comunicación a las partes interesadas.
- Alcance del SGCN (Cláusula 4.3.1): Debe mantenerse un documento en el que se identifique el alcance del SGCN y que contemple los requerimientos y necesidades de las cláusulas 4.1 y 4.2.
- Política de Continuidad de Negocio (Cláusula 5.3): La Alta Dirección debe establecer una Política de Continuidad de Negocio que sea apropiada para los objetivos de la Organización y sirva como framework para el SGCN. Además, esta política deberá ser comunicada y estar disponible para todas las partes interesadas que lo requieran.
- Objetivos de Continuidad de Negocio (Cláusula 6.2): Los objetivos de continuidad de negocio deben estar documentados y ser comunicados al personal para quien sean relevantes. Estos objetivos deben ser coherentes con la Política de Continuidad y deben ser monitorizados de cara a actualizarlos si es necesario.
- Competencias (Cláusula 7.2): Se debe garantizar que el personal dispone de la competencia adecuada para su función y si es necesario, facilitar su capacitación. La Organización debe mantener evidencias de esto.
- Plan de Comunicación (Cláusulas 7.4 y 8.4.3): Se debe documentar a quien se debe comunicar una disrupción, incluyendo todas las partes interesadas (ya sean actores internos o externos).
- Proceso de Análisis de Riesgos e Impacto en el Negocio (Cláusula 8.2.1): Documento en el que se establece el contexto, criterios y evaluación de potenciales riesgos, tratamientos y salidas del proceso.
- Análisis de Impacto de Negocio (Cláusula 8.2.2): En el que se identifiquen las actividades críticas del negocio y se evalúen el impacto de no realizar dichas funciones.
- Análisis de Riesgos (Cláusula 8.2.3): El resultado del proceso de análisis de riesgos, identificando los riesgos existentes y cuáles deben ser tratados, de acuerdo a los objetivos de continuidad definidos.
- Procedimientos de Continuidad de Negocio (Cláusula 8.4.1): Para evitar situaciones de disrupción de la Organización se deben establecer Procedimientos de Continuidad. Estos procedimientos estarán documentados y deberán indicar los principales pasos a seguir por cada rol en caso de disrupción.
- Respuesta a Incidentes (Estructura de Respuesta a Incidentes - Cláusula 8.4.2): En este documento se reflejan los umbrales que justifican el lanzamiento de los Procedimientos de Continuidad y cómo elegir qué Procedimiento debe ejecutarse.
- Decisiones de Comunicación (Cláusula 8.4.2): Una Organización debe decidir a qué partes interesadas (incluyendo actores externos) debe comunicar que ha ocurrido una crisis y debe documentar su decisión.
- Procedimientos de Respuesta a Incidentes (Cláusula 8.4.4): Se debe disponer de procedimientos en los que se expliquen los roles y responsabilidades de los actores involucrados, los procedimientos de gestión de la incidencia, la operativa para la continuidad de las operaciones entre otros requerimientos.
- Procedimientos de vuelta a la normalidad (Cláusula 8.4.5): Una vez se ha finalizado la contingencia, la vuelta al servicio habitual debe ser lo menos traumática posible para los servicios y colaboradores de la Organización; por ello, se deben establecer y documentar una serie de procedimientos en los que se indique los pasos a seguir para volver a operar de la forma habitual.
- Resultados de monitorización y evaluación (Cláusula 9.1.1): Como proceso de mejora continua, se deben monitorizar las actividades, analizarlas y evaluarlas. Estos resultados deben guardarse como evidencia del proceso.
- Evidencia de no conformidades (Cláusula 9.1.1): Cuando se identifiquen elementos adversos o como resultado de las no conformidades detectadas, la Organización tomará las medidas oportunas para mitigar dichas deficiencias y deberá guardar registros de las acciones tomadas como evidencia.
- Revisión post-incidente (Cláusula 9.1.2): Cuando la Organización sufra un incidente que suponga la activación del Plan de Continuidad, la Organización deberá realizar una revisión del incidente y las acciones tomadas, que deberá quedar documentado como evidencia.
- Auditoría Interna (Cláusula 9.2): Esta cláusula indica que la Organización debe realizar auditorías internas a intervalos planificados. El informe de la auditoría deberá guardarse como evidencia de que la auditoría se ha realizado.
- Revisión de la Dirección (Cláusula 9.3): La Alta Dirección debe estar involucrada en el SGCN. Debe revisar el SGCN a intervalos planificados y deben quedar evidencias de dicha revisión.
- No conformidades y acciones tomadas (Cláusula 10.1): Las no conformidades detectadas como resultado de las auditorías deben ser controladas. Por ello, debe quedar constancia de la evaluación de las no conformidades y las acciones que decidan tomarse.
- Resultados de acciones correctivas (Cláusula 10.1): Cualquier cambio derivado de las auditorías o fallos detectados en las revisiones que sea implantado debe generar un registro en el que se indique los resultados de dichas acciones.
Como puede observarse, la cantidad de documentación requerida por el SGCN es muy elevada. A toda esta documentación, debe añadirse además cualquier otra información a la que se haga referencia en la política o el alcance, o cualquier documento que la Organización considere necesaria para la Gestión de la Continuidad de Negocio.
Existen otros documentos que, si bien no son obligatorios, es muy habitual encontrarlo en los sistemas que se encuentran certificados y ayudan al mantenimiento del SGCN. Algunos de estos documentos son:
- Plan de Formación (Cláusulas 7.2 y 7.3): Disponer de un Plan de Formación ayudará a identificar las capacitaciones que son necesarias en función de los roles y responsabilidades definidos, así como ayuda a la planificación de las tareas de formación de la Organización.
- SLA y revisión de SLA con procesos externalizados (Cláusula 8.1): En caso de que existan procesos externalizados, estos deben ser controlados. La mejor forma de control es a través de un contrato con SLA y evidencias de que estos SLA se revisan de forma periódica. En muchas ocasiones, estos SLA son revisados a través de reuniones planificadas a intervalos regulares y son parte de los propios SLA.
- Plan de Pruebas (Cláusula 8.5): Probar los procedimientos puede ser vital para la Organización. Estas pruebas cumplen una doble función: por un lado, asegurarán que los actores involucrados conozcan sus responsabilidades y los pasos que deben seguir en caso de incidente; por otro, garantiza la viabilidad del procedimiento o detecta fallos en el diseño.
- Escenarios de incidentes (Cláusula 8.5): Las pruebas que se realizan en el SGCN deben ser adecuadas, para ello se identifican posibles escenarios de crisis sobre los que realizar las pruebas.
- Revisión e informes de pruebas (Cláusula 8.5): Se recomienda que siempre que se lleve a cabo una prueba se proceda de igual forma que si la Organización estuviese afrontando una contingencia real. Esto incluye una revisión e informe de la prueba realizada, de cara a identificar deficiencias en un proceso de mejora continua.
- Plan de Actualización (Cláusula 9.1.1): Revisar la documentación de forma periódica permite garantizar que la información está acorde a los objetivos de la Organización, así como se revisan que los procedimientos estén actualizados. Por otro lado, la revisión y actualización de las pruebas y procedimientos garantiza que se dispone de información reciente en caso de que haya que activar el Plan de Continuidad.
- Programa de Auditoría (Cláusula 9.2): Sirve como evidencia de que la auditoría se encuentra planificada y que ha cumplido con los objetivos establecidos.
A modo de conclusión, queremos hacer notar que la cantidad de documentación necesaria para disponer de un SGCN certificable es muy extensa. Destacar también que no es obligatorio tener un documento para cada uno de los requisitos, si no que pueden integrarse varios de estos documentos en uno. Es muy importante para un SGCN operativo que se encuentre un equilibrio entre el número de documentos y la cantidad de información que contienen, de forma que dichos documentos sean manejables para la operativa diaria y faciliten su actualización y la revisión por parte de los auditores, sin olvidar que, si la información se encuentra disgregada entre varios documentos, es muy factible que se den inconsistencias entre los diferentes documentos. Por último, añadir que, si se integran varios de estos documentos obligatorios en un único documento es muy importante tener identificado, por parte de los responsables del SGCN, a qué cláusulas hace referencia cada documento, de forma que el auditor sepa dónde encontrará las evidencias que necesita y además facilitará la labor de actualización de los documentos cuando se dé cualquier cambio dentro de la Organización.
ISO 22301:2012 – Societal Security – Business continuity management systems: https://www.iso.org/standard/50038.html
Whitepaper de Advisera – Checklist of ISO 22301 mandatory documentation: http://info.advisera.com/27001academy/free-download/checklist-of-iso22301-mandatory-documentation
Antonio Martínez Jiménez
CISSP, ISO 20000 L.A.
Dpto. Consultoría